Jira Service Management セキュリティ勧告 2021-10-20
要約 | CVE-2018-10054 - Remote Code Execution through Insight - Asset Management |
|---|---|
勧告のリリース日 | 2021 年 10 月 20 日 午前 10 時 (太平洋標準時、UTC-7) (このアドバイザリは 2021 年 10 月 21 日に更新されて、Jira Service Management Server の影響を受けたバージョンをお知らせしました) |
製品 |
Jira Service Management Cloud のお客様は影響を受けません。 |
影響バージョン | Insight - Asset Management アプリ - Marketplace でダウンロード可能な次のバージョン
Jira Service Management Data Center および Server の次のバージョン
|
修正済みバージョン - Insight - Asset Management Marketplace アプリ | 8.9.3 |
修正済みバージョン - Jira Service Management Data Center および Server | 4.20.0 (Insight v. 9.1.2 をバンドル) |
CVE ID |
脆弱性の概要
この勧告は、クリティカルな重要度のアプリの 8.9.3 よりも前のバージョンにおける、Insight - Asset Managementのセキュリティ脆弱性を発表します。このアプリは、Jira Service Management Data Center および Server (4.14 より前は Jira Service Desk) のバージョン 4.15.0 以降にバンドルされています。Jira Service Management Data Center および Server の >= 4.15.0 と < 4.20 のすべてのバージョンが影響を受けます。影響を受ける Insight - Asset Management アプリと Jira Service Management Data Center および Server のバージョンは、上述の表 ("影響を受けるバージョン" を参照) で確認できます。
"影響を受けるバージョン" セクションに記載されているバージョンをダウンロードおよびインストールしている場合、この脆弱性を修正するためにインストールを即座にアップグレードする必要があります。即座にアップグレードすることが難しい場合、アップグレードを計画する間は以降の回避策を適用してください。
CVE-2018-10054 - Jira Service Management Data Center とサーバーに影響を与える Insight - Asset Management における RCE
深刻度
アトラシアンはアトラシアンの深刻度レベルで公開されているスケールに従って、この脆弱性の深刻度レベルを重大として評価しています。このスケールによって、深刻度を重大、高度、中度、低度として評価できます。
これはアトラシアンの評価であり、お客様自身の IT 環境への適用性を評価する必要があります。
説明
Insight - Asset Management には、複数のデータベース (DB) からデータをインポートできる機能があります。このような DB の 1 つである H2 DB のライブラリには、攻撃者がサーバーでコードを実行する (リモート コード実行、RCE) ために使用できるネイティブ機能があります。H2 DB は、Jira のテスト環境の迅速なセットアップに使用できるように Jira にバンドルされています。
Insight - Asset Management によってもたらされた DB インポート機能と、既存の Jira H2 DB のライブラリとの組み合わせにより、この脆弱性が発生しました。この脆弱性は、インポート構成が保存されているかどうか、あるいは H2 をターゲット DB として使用したことがあるかどうかにかかわらず存在します。この脆弱性にアクセスするには次の条件を満たす必要があります。
- ユーザーが認証済みの Jira ユーザーであること、および
Insight - Asset Management で次のいずれかの権限を持っていること
- "Insight administrator" のユーザーまたはグループ権限
- "Object Schema Manager" のユーザーまたはグループ権限
この問題は次のリンクで追跡できます。 JSDSERVER-8716 - 課題情報を取得中... ステータス
謝辞
この問題はアトラシアンの公開のバグ報奨金プログラムを通じ、Viettel Cyber Security の Khoadha (l0gg) によって発見されました。
修正
弊社ではこの問題に対応するために次の対応を行いました。
Jira Service Management Data Center および Server のバージョン 4.20.0 と Insight - Asset Management アプリの 8.9.3 をリリースしました。これらではインポート機能における任意の H2 DB への接続の確立が無効化されます。
必要なアクション
弊社では最新の修正バージョンにアップグレードすることを推奨していますが、アップグレードを行うのが難しい場合は軽減策のステップを利用していただけます。Jira Service Management と Insight - Asset Management の最新バージョンの完全な説明については、Jira Service Management のリリース ノートをご確認ください。
Jira Service Management 4.19 以降では、Insight - Asset Management を「無効化」または「アンインストール」しないでください。
Jira Service Management Server バージョン 4.19 以降の Insight - Asset Management アプリのバンドル バージョンは [アプリを管理] の [ユーザーのインストールによる] セクションに表示されますが、実際にはアプリにとって不可欠な構成要素です。[無効化] または [アンインストール] の各オプションを使用すると、Jira Service Management のコア機能が壊れます。Data Center バージョンでは、このアプリは [アプリケーションの構成要素] に正しく表示されます。この問題は JSDSERVER-10845 で追跡できます。
アップグレード
Jira Service Management Data Center および Server
Jira Service Management Data Center および Server バージョン 4.15.0 以降の場合、弊社のソフトウェア ダウンロード ページからバージョン 4.20.0 をダウンロードしてそれにアップグレードできます。これらのバージョンでは Insight アプリは Jira Service Management Data Center にバンドルされているため、Insight アプリのみを Marketplace からアップグレードするようなことはできません。
Insight - Asset Management アプリ
対象:
Jira Service Management Data Center の 4.15.0 よりも前のバージョン
Jira Core (Server/Data Center)
Jira Software (Server/Data Center)
Atlassian Marketplace から Insight - Asset Management アプリ バージョン 8.9.3 (任意の H2 DB への接続を無効化するバージョン) をダウンロードしてそれにアップグレードします。
Jira との互換性も考慮するようにします。アプリの修正済みバージョン (8.9.3) は次の製品との互換性を持ちます。
アプリのバージョン | アプリケーションの互換性 |
|---|---|
8.9.3 | サーバー:
Data Center:
|
他のバージョンを実行している場合、最初に 8.9.3 のアプリとの互換性を持つバージョンにアップグレードする必要があります (詳細については弊社のセキュリティ バグ修正ポリシーをご確認ください)。たとえば、Jira バージョン 8.7.2 を Insight - Asset Management アプリのバージョン 8.4.1 と実行している場合、Insight - Asset Management アプリのバージョン 8.9.3 をインストールできるようにするには、まず Jira バージョン 8.12.0 以降にアップグレードする必要があります。アップグレードを即座に行うのが難しい場合は以降の軽減策のステップに従ってください。
問題の軽減策
最新バージョンに即座にアップグレードすることができない場合、一時的な回避策として、Jira のインストールに付属する H2 の JAR ファイルを削除することで問題を軽減できます。
以降の軽減策のステップを行うと、現在 H2 を使用しているすべてのインスタンスが開始できなくなります。インスタンスを引き続き利用するには、軽減策のステップを実行する前に、H2 データベースからサポート対象の任意のデータベース タイプへの移行を行う必要があります。
H2 データベースが本番環境での利用にサポートされていたことはありません。
データベースの移行方法のガイダンスについては「データベースの切り替え」をご確認ください。
H2 の JAR ファイルを削除するには、次の手順を実行します。
Jira をシャットダウンします。
<Jira-Installation-Directory>/atlassian-jira/WEB-INF/lib/に移動します。h2-1.4.XYZ.jarファイルを見つけて削除します (ここで "XYZ" はファイルのバージョンのプレースホルダーです。例:h2-1.4.200.jar)Jira を再度起動します。
サポート
このセキュリティ勧告のメールを受け取っていないが今後の受信を希望する場合は、https://my.atlassian.com/email にアクセスしてアラート メールに登録してください。
この勧告に関してご質問や懸念がある場合は、https://support.atlassian.com/ja/ でサポート リクエストを作成してください。
参考
アトラシアンの新しいポリシーに記載のとおり、重大なセキュリティ バグ修正は、https://www.atlassian.com/trust/security/bug-fix-policy に応じてバックポートされます。新しいポリシーの対象バージョンについては、バイナリ パッチではなく新しいメンテナンス リリースが提供されます。 バイナリ パッチのリリースは終了しています。 | |
アトラシアンのセキュリティ勧告には重大度レベルと CVE ID が含まれます。重大度レベルは、それぞれの脆弱性についてアトラシアンが独自に計算した CVSS スコアに基づきます。CVSS は業界標準の脆弱性メトリックです。CVSS の詳細については、FIRST.org をご参照ください。 | |
サポート終了ポリシーは、製品によって異なります。詳細についてはポリシーを参照してください。 |